【サンプルあり】ISO27001(ISMS)内部監査のチェックリストを解説
- ISMSの内部監査を標準化するためにチェックリスト作成がおすすめ
- ISMSの内部監査チェックリストは、実施後の記録として、次回監査に役立てられる
ISO /IEC27001を取得するには、定められている要求事項 を満たすことが必要です。要求事項の中には内部監査の実施を求める項目があります。
しかし、内部監査を行うといっても、どのように行えば良いのかわからないという担当者の方もいるでしょう。効果的に内部監査を実施するには、チェックリストを活用することがおすすめです。
そこで、この記事ではISO27001 (ISMS)内部監査におけるチェックリストについて解説します。また、チェックリストのサンプル・質問例もまとめていますので、ぜひ参考にしてください。
目次
ISO27001(ISMS)の内部監査チェックリストを作成するメリット・デメリット
ISO27001(ISMS)内部監査でチェックリストを作成するメリット・デメリットを解説します。メリット・デメリットを理解したうえで活用することが大切です。
メリット
内部監査でチェックリストを利用する主なメリットを以下にまとめました。
- 内部監査を標準化できる
- 内部監査の質の向上や作業効率化につながる
- 内部監査を実施した証拠として活用できる
内部監査は一度実施したら完了するわけではなく、定期的に行う必要があります。そのため、チェックリストを記録として残して活用することにより、内部監査を繰り返す中で、より効果的に実施できるでしょう。
デメリット
内部監査でチェックリストを利用する主なデメリットを以下にまとめました。
- 内部監査が形式的になり、記載された項目以外の確認事項に気づけないリスクがある
- マネジメントシステムの有効性の判定には不十分
チェックリストの内容を埋めることに注力しすぎると、現場や担当者とのやり取りが疎かになってしまい、潜在的な課題に気づけなくなる可能性があります。
ISO27001(ISMS)の内部監査チェックリストを作成するポイント
ISO27001(ISMS)の内部監査チェックリストを作成するポイントを解説します。
要求事項に沿って作成する
チェックリストを作成する際は、要求事項の項目番号順に作成することがおすすめです。というのも、チェック漏れを防ぐというだけでなく、自社で取り組むべき順番になっているためです。
ISO27001の要求事項に沿って作成することで、内部監査で質疑応答を行う際にストーリー性をもたせられるため、対話内容を把握しやすくなりスムーズな進行が可能になります。
自社の体制に適した内容にする
要求事項との適合性の確認に注力しすぎると、自社の体制や業務内容とかけ離れたチェックリストになってしまう可能性があります。
ISO27001の要求事項は、さまざまな業種や規模、業務内容の企業が適用できるように柔軟性に優れています。そのため、チェックリストを作成する際も、適合性を確認できるようにしつつも、自社の体制や業務内容に適した内容を目指しましょう。
ISO27001(ISMS)の内部監査チェックリストのサンプル・質問例
ISO27001(ISMS)の内部監査チェックリストのサンプル・質問例を作成しました。参考にしてください。
チェックリストのサンプル
ISO27001の内部監査チェックリストのサンプルです。
| 番号 | 要求事項の項番 | 内容 | 確認状況 | 評価 |
|---|---|---|---|---|
| 1 | 4.2 | 当社利害関係者と、利害関係者から要求される情報セキュリティの内容は明確になっているか | 利害関係者からの要求事項一覧表などを確認する | 適合or不適合(※以下同様) |
| 2 | 5.2 | 「情報セキュリティ基本方針」「情報セキュリティポリシー」などを定め、従業員や外部へ公表・共有しているか | 会社のホームページなどを確認する | |
| 3 | 7.2 | 配属された新人の情報セキュリティ研修はいつ実施されているか | 教育訓練記録などを確認する |
内部監査の質問例
内部監査の質問例の前に、質疑応答のポイントをまず紹介します。監査人は、意図した回答が得られるように以下を意識して質問しましょう。
要求事項に記載されている取り組みを実施しているかどうかを確認したい場合
「Do(~していますか?)」を意識し、「はい・いいえ」という回答になる質問にする
明確な答えがあり、その答えを把握しているかを確認したい場合
5Wである「When(いつ)・Where(どこで)・Who(誰が)・What(何を)・Why(なぜ)」を意識し、情報を引き出す回答になる質問にする
内部監査を受ける各業務部門の監査担当者の考え方や理解度を確認したい場合
「How(どのように)」を意識し、内容を「説明」してもらえる質問にする
問題点などを確認したい場合
必要に応じて現場でデモンストレーションを実施してもらうなど工夫して、問題点の発生状況や改善点などが見えるように質問する
以下に質問例をまとめましたので、作成の際に役立ててください。
- 情報資産管理台帳の更新は、いつ行っていますか。
- 情報インシデントが発生したときの対応の手順を説明してください。
- パソコンのパスワードは、いつ、誰が変更していますか。
- 従業員が退職した際、組織の資産はどのようにして返却されますか。
まとめ
この記事では、ISO27001(ISMS)の内部監査を実施する際に使用するチェックリストについて解説しました。
チェックリストを用いることで、内部監査を標準化し、チェックすべきポイントの抜け漏れを防ぐなどさまざまなメリットがあります。作成する際には、要求事項に則っているかどうかや自社の事業に適した内容になっているかどうかを確認しましょう。
適切にチェックリストを作成できているかわからないという企業の担当者は、一度プロのコンサルティング業者に相談することもおすすめです。自社のISMSの継続的改善につながるような内部監査の実施を目指しましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい